Ubuntu 9.10
2 сетевые карты
на 1-ой адрес 172.16.0.2 смотрит в домашнюю сеть и роутер 172.16.0.1 Dlink320 (интернет через него)
на 2-ой адрес 192.168.16.132 смотрит в районную сеть и роутер 192.168.16.1
прописан маршрут для внутренний сети:
route add -net 192.168.0.0 netmask 255.255.252.0 gw 192.168.16.1
в исключения фаервола добавлены порты торента, Linuxdc, 80
Проблема: с включенным фаерволом (пользуюсь GUI Firestarter) не идут пакеты в районную сеть (не пингуется шлюз), не работает торрент, диси, не видятся внутренние сайты, при этом интернет через домашнюю сеть идет нормально, как и др ресурсы домашней сети
при отключении фаервола все работает: качаются торенты и файлы через диси, появляется доступ к сайтам районной сети
Вопрос: что нужно сделать, что бы корректно работали обе сети с включенным фаерволом?
P.S. конечно, могу просто открыть подсеть так:
sudo ufw allow from 192.168.0.0, но смысл тогда будет вообще в существовании фаервола
здесь 49152 - порт торрента, 411 - порт dc
вот голубиный помет от iptables:
sudo iptables -L
[sudo] password for budda:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- localhost anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT udp -- localhost anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere limit: avg 10/sec burst 5
DROP all -- BASE-ADDRESS.MCAST.NET/8 anywhere
DROP all -- anywhere BASE-ADDRESS.MCAST.NET/8
DROP all -- 255.255.255.255 anywhere
DROP all -- anywhere 0.0.0.0
DROP all -- anywhere anywhere state INVALID
LSI all -f anywhere anywhere limit: avg 10/min burst 5
INBOUND all -- anywhere anywhere
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Input'
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere limit: avg 10/sec burst 5
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Forward'
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 172.16.0.2 localhost tcp dpt:domain
ACCEPT udp -- 172.16.0.2 localhost udp dpt:domain
ACCEPT all -- anywhere anywhere
DROP all -- BASE-ADDRESS.MCAST.NET/8 anywhere
DROP all -- anywhere BASE-ADDRESS.MCAST.NET/8
DROP all -- 255.255.255.255 anywhere
DROP all -- anywhere 0.0.0.0
DROP all -- anywhere anywhere state INVALID
OUTBOUND all -- anywhere anywhere
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Output'
Chain INBOUND (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- dir-320 anywhere
ACCEPT all -- 172.16.0.4 anywhere
ACCEPT all -- 172.16.0.3 anywhere
ACCEPT all -- 172.16.0.5 anywhere
ACCEPT all -- 192.168.2.250 anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:microsoft-ds
ACCEPT udp -- anywhere anywhere udp dpt:microsoft-ds
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ns
ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-dgm
ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm
ACCEPT tcp -- 172.16.0.0 anywhere tcp dpt:ssh
ACCEPT udp -- 172.16.0.0 anywhere udp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:49152
ACCEPT udp -- anywhere anywhere udp dpt:49152
ACCEPT tcp -- anywhere anywhere tcp dpt:411
ACCEPT udp -- anywhere anywhere udp dpt:411
ACCEPT tcp -- anywhere anywhere tcp dpt:49152
ACCEPT udp -- anywhere anywhere udp dpt:49152
LSI all -- anywhere anywhere
Chain LOG_FILTER (5 references)
target prot opt source destination
Chain LSI (2 references)
target prot opt source destination
LOG_FILTER all -- anywhere anywhere
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST
LOG icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP icmp -- anywhere anywhere icmp echo-request
LOG all -- anywhere anywhere limit: avg 5/sec burst 5 LOG level info prefix `Inbound '
DROP all -- anywhere anywhere
Chain LSO (0 references)
target prot opt source destination
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 5/sec burst 5 LOG level info prefix `Outbound '
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain OUTBOUND (1 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Правила для входящего трафика:
Правила для исходящего трафика: